GitHub, AI, và Token: Ba góc nhìn thiết yếu cho developer hiện đại

1) Anyone Can Commit Code as You on GitHub (Here’s How to Stop Them)

Tóm tắt:

Bài viết nêu rằng trên GitHub, chỉ vì tên và email của bạn trong cấu hình Git có thể bị giả mạo, là có người khác có thể đẩy commit với tên bạn — nhìn giống bạn làm nhưng bạn không làm. DEV Community
Giải pháp chính là sử dụng ký chữ ký GPG (GnuPG) để ký số các commit của bạn, nhằm chứng minh “chính bạn” đã làm commit đó. DEV Community
Bài hướng dẫn chi tiết cách: tạo khoá GPG, xuất public key, thêm vào GitHub, cấu hình Git để ký commit mặc định, test lại, và những bước khắc phục/lỗi thường gặp. DEV Community
Tác giả nhấn mạnh rằng ban đầu có thể cảm thấy “không cần thiết” nhưng trong nhiều trường hợp (open-source, chuỗi cung ứng phần mềm, audit) nó là thước đo quan trọng để xác minh. DEV Community

Highlight / những điểm nổi bật:

Việc “người khác có thể đóng giả bạn commit” không phải chỉ lý thuyết — có rủi ro thực sự. DEV Community
Ký commit bằng GPG giúp xuất hiện badge “Verified” trên GitHub — dùng như một dấu hiệu tin cậy. DEV Community
Lưu khoá riêng tư (private key) là cực kỳ quan trọng — nếu mất, bạn sẽ không thể tạo commit đã ký. DEV Community
Cấu hình Git + GPG tuy mất chút thời gian nhưng đáng làm sớm, “trước khi bạn cần tới nó”. DEV Community

Link bài viết:
https://dev.to/nickytonline/anyone-can-commit-code-as-you-on-github-heres-how-to-stop-them-2in7

Tóm tắt:

Tác giả đặt câu hỏi: liệu trang web của bạn có nên có một trang riêng như /ai để minh bạch về cách bạn sử dụng AI hay không. DEV Community
Trang /ai có thể từ mức đơn giản (“Không có bài viết nào được viết bằng AI”) đến mô tả chi tiết hơn (công cụ AI sử dụng, cách chỉnh sửa/human-in-loop, rủi ro, đạo đức…). DEV Community
Mục đích: tăng độ tin cậy, giúp người dùng hiểu bạn đang làm gì, bạn có dùng AI hay không, và nếu dùng thì như thế nào. DEV Community
Tác giả cũng lưu ý rằng việc có trang như vậy không phải để “chỉ cho có” mà để thực sự minh bạch và chân thực — và có thể áp dụng cả trên mobile app chứ không chỉ web. DEV Community

Highlight / những điểm nổi bật:

Minh bạch về AI đang dần trở thành “chữ tín” với người dùng — nếu bạn dùng AI, thì giải thích nó, nếu không thì cũng nên nói rõ. DEV Community
Trang có thể viết dưới nhiều hình thức — không phải bắt buộc phải dài hoặc phức tạp, cái chính là chân thật và dễ hiểu. DEV Community
Tác giả cũng cảnh báo: nếu chỉ lập trang để “check hộp” (just a marketing sticker), người dùng hoặc cộng đồng sẽ nhận ra và giá trị sẽ giảm. DEV Community

Link bài viết:
https://dev.to/rpalo/does-your-site-need-a-ai-page-2hkp

Tóm tắt:

Bài viết giải thích rõ ba loại token thường gặp trong hệ thống xác thực/ủy quyền web: ID token, Access token, Refresh token. DEV Community
ID token: cho biết “bạn là ai” (identity snapshot), thường dùng phía frontend để hiển thị thông tin người dùng. DEV Community
Access token: là “giấy phép” để gọi API, cần được giữ ngắn hạn (ví dụ 5-15 phút) để nếu bị đánh cắp thì thiệt hại nhỏ. DEV Community
Refresh token: dùng để lấy Access token mới khi Access token hết hạn; nên lưu ở cookie HttpOnly/Secure/SameSite, không nên cho frontend đọc được. DEV Community
Bài viết cũng nêu tại sao không nên lưu token trong localStorage hoặc sessionStorage: dễ bị XSS đánh cắp. DEV Community
Tác giả đưa ra mô hình mental-model rõ ràng: Frontend hỏi IdP, nhận token, API kiểm tra Access token → cho phép hay không. DEV Community

Highlight / những điểm nổi bật:

Việc phân biệt rõ “who you are” (ID token) vs “what you can do” (Access token) là rất quan trọng. DEV Community
Token lưu trữ: nếu dùng localStorage/sessionStorage thì rất dễ bị XSS — bài khẳng định “localStorage = ‘please rob me’”. DEV Community
Cách lưu trữ an toàn hơn: Access & ID token ở memory, Refresh token ở HttpOnly cookie. DEV Community
Việc giữ token trong bộ nhớ (memory) gây UX/thực thi khó khăn (ví dụ refresh page, tab closed) — tác giả hứa sẽ bàn tiếp ở phần 2. DEV Community

Link bài viết:
https://dev.to/sylwia-lask/auth-explained-part-1-id-vs-access-vs-refresh-tokens-what-they-actually-do-and-why-2l1